standaard 'bewerkersovereenkomst' voor archiefbescheiden?

Hallo,

 

Wanneer je een externe partij werk voor je laat uitvoeren waarbij persoonsgegevens verwerkt worden, moet er een zgn. bewerkersovereenkomst gesloten worden. Hiervan zijn enkele standaard/voorbeelden te vinden op internet.

Ik vroeg me af: ivm ontwikkelingen als SaaS, werken in de cloud en dergelijke kan het steeds vaker voorkomen dat ook archiefbescheiden door externe partijen gemaakt of (voor lange of korte periode) opgeslagen worden. Vaak wordt er dan gekeken naar koppelingen met het eigen DMS/RMA, maar soms is het best te overwegen om dit niet te doen (hoge kosten/maatwerk tegenover beperkte bewaartermijn). In dat geval wil je toch een goed beheer van je archiefbescheiden regelen. Zou handig zijn om ook voor archiefbescheiden een soort standaard 'bewerkersovereenkomst' te hebben. 

Op internet kan ik zo snel niets in die richting vinden (kan ook aan mijn zoekstrategie liggen). Zijn er organisaties die zoiets hanteren? Of richt iedereen zich toch op de ontwikkeling van koppelingen en 'alles binnen de deur houden'?

 

Met vriendelijke groet,

Bianca Hornstra 

 

 

Weergaven: 1884

Hierop reageren

Berichten in deze discussie

Permalink Antwoord van Yvonne Welings op 20 Januari 2014 op 20.08
@Bianca, is het niet de gewoonte deze eis met het programma van eisen bij de aanbesteding mee te nemen ?
Wat de aanbesteding van de cloud betreft las ik laatst in het Centric blad van november dat de gemeente Werkendam in het programma van eisen had opgenomen dat de gegevens alleen in Nederland mochten worden opgeslagen. Lijkt me wel moeilijk haalbaar met een Europese aanbestedingswet recent herzien in april 2013.
Al onze vingerafdrukken uit onze paspoorten zijn al in de Verenigde Staten aangetroffen.
Of opnemen in het programma van eisen ook echt effectief is, is een tweede. Wie audit dit en controleert of de gegevens na bewerking echt digitaal ontoegankelijk zijn gemaakt ?
Permalink Antwoord van Ger Wischmann op 21 Januari 2014 op 8.31

Hallo Bianca,

Wij hebben de ICT geoutsourced. Dus ook de GBA administratie. het ministerie vereist dan dat je een bewerkersovereenkomst afsluit en jaarlijks een audit uitvoert op de informatiebeveiliging. We hebben deze eis ook opgenomen bij de aanbesteding.

Groet,

Ger Wischmann

Permalink Antwoord van Henk Sligman op 21 Januari 2014 op 9.17

Dag Bianca,

Als burger zou ik graag zien dat de "overheid" eigenaar blijft van haar eigen data. Data op gehuurde schijven is in het ICT recht volgens mij van niemand (bij calamiteiten o.a. faillissementen).

We horen daar vaak niets over omdat het nogal pijnlijk is.

Met belangstelling volg ik dus ook GBA administraties in de cloud. Maar het "ministerie" heeft toestemming gegeven dus er zal wel niets aan de hand zijn.

 

Permalink Antwoord van Henk Sligman op 21 Januari 2014 op 14.56
Permalink Antwoord van Yvonne Welings op 21 Januari 2014 op 16.37

@Henk, je hebt zelf de presentatie van Datamatters gezien. Het gaat om openbare informatie. Dat er geen risico's kleven aan de cloud is niet te ontkennen, maar het gaat dan met name om privacygevoelige informatie. Je moet iets met de cloud, maar dan kan je beter bedenken hoe en waarom ? Ontwikkelingen draai je niet terug alleen al omdat de cloud veel goedkoper is en uitbesteding een toverwoord is geworden.

Zie deze link naar eerdere bijdrage over de cloud.

en deze naar de publicatie van KING:

Maar daarvoor komen ook voortdurend nieuwe mogelijkheden beschikbaar. Bijvoorbeeld om het aanwezige applicatielandschap anders te gaan invullen. De ontwikkeling in de markt om gebruik te kunnen gaan maken van gehoste ("in the cloud") oplossingen kan wel eens leiden tot hele andere inrichtingskeuzes dan enkele jaren geleden mogelijk waren. Zeker bij een servicegerichte werkwijze kunnen voorzieningen, en het daarbij behorende beheer, immers vaak ook extern worden geplaatst.

 

 

Permalink Antwoord van Yvonne Welings op 21 Januari 2014 op 16.59

@Ger, op 6 januari 2014 is de Wet Basisregistratie personen (BRP) in werking getreden. Deze wet vervangt de Wet GBA. Ik moet me er nog helemaal in gaan verdiepen.

Permalink Antwoord van Bianca Hornstra op 23 Januari 2014 op 14.02

@Henk: interessante link!

Ik ben zelf ook geen groot voorstander van archief in de cloud zetten, vooral als het gaat om langer te bewaren stukken. Ik wil echter ook niet direct de deur dichtgooien voor deze ontwikkelingen. Er moet dus wat mij betreft nog flink wat verbeterd worden aan deze opslagdiensten voordat ik ze grootschalig zou willen gebruiken, maar als ze voldoen aan de eisen die voor goed archiefbeheer gelden (daarbij ook voorkomen van ongewenste toegang door wie dan ook (-kuch-NSA-kuch-)), zou ik niet weten waarom je het niet als geldig alternatief kunt overwegen.

 

Mij ging het in mijn vraag juist om stukken die relatief kort bewaard hoeven te worden. Bij ons wordt er voor bepaalde afgebakende processen soms gekeken naar een SaaS-oplossing die hier specifiek voor gemaakt is. Als de stukken dan kort bewaard hoeven te worden, zitten er meestal hoge (ontwikkel-) kosten aan het overhalen naar je eigen omgeving. In die situatie wil ik graag kijken in hoeverre dit beheer gewoon binnen de oplossing kan plaatsvinden, maar dan wel met de juiste maatregelen. Ik wil dit inderdaad zoals Yvonne al aangeeft in het voortraject meenemen, maar dan leek het me dus handig als er een soort standaard is (zoals bij bewerkingsovereenkomsten ihkv GBA/BRP), om te voorkomen dat je punten vergeet of steeds het wiel opnieuw moet uitvinden.

Permalink Antwoord van Ger Wischmann op 23 Januari 2014 op 16.36

Bianca,

Qua eisen aan de SAAS oplossing kun je eens kijken naar de eisen die gesteld worden aan het DigiD assessment. Deze eisen zouden moeten gelden voor alle SAAS oplossingen.

Permalink Antwoord van Yvonne Welings op 23 Januari 2014 op 17.30
@Ger, wat een goed idee ! Bedoel je deze eisen of zijn er andere ?

http://www.norea.nl/readfile.aspx?ContentID=75114&ObjectID=1076...'s.pdf
Permalink Antwoord van Ger Wischmann op 24 Januari 2014 op 9.13

@Yvonne,

Klopt, dit zijn de 28 eisen waaraan de DigiD verbinding moet voldoen. In totaal zijn er 55 eisen. De originele bron is het document “ICT-beveiligingsrichtlijnen voor webapplicaties” van het Nationaal Cyber Security Centrum (NCSC). De komende jaren zal het aantal eisen voor het DigiD assessment uitgebreid worden.

https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/w...

Permalink Antwoord van Ger Wischmann op 24 Januari 2014 op 9.20

@Bianca

Bijgevoegd de bewerkersovereenkomst die wij afgesloten hebben.

Bijlagen:
Permalink Antwoord van Yvonne Welings op 24 Januari 2014 op 10.09

Ger, nogmaals bedankt ! Toevallig had ik gisteren een overleg en toen kwam het begrip escrow overeenkomst ter sprake. (link)

Mocht ik me meer van deze materie weten dan nu , dan ga ik de opgedane kennis  zeker via BREED delen.

Antwoorden op discussie

RSS

Partner(s)

Sponsor(s)

http://www.elveo.nl

Direct naar...

Vind BREED!

- Twitter

- LinkedIn

- RSS: alle activiteiten

- RSS: nieuwe discussies

- RSS: nieuwe blogs

- E-mail

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden